一般情况下,经过ingress的请求会携带headerX-Real-IP,用户可根据header解析出真实访问IP。

特殊情况,用户请求可能经过多个nginx才达到ingress, 通过上述方法得到的并不是用户的真实IP。

request->nginx->…->ingress->backend

方案1 use-forwarded-headers
nginx-ingress官方的建议是开启use-forwarded-headers, 配置如下:

kind: ConfigMap
apiVersion: v1
metadata:
name: nginx-configuration
data:
compute-full-forwarded-for: 'true'
use-forwarded-headers: 'true'


方案2
这种方式确实可以起作用,但是有用户反馈开启后访问ingres后端服务一直报308,检查了ingress的代码开启use-forwarded-headers后会同时开启ssl-redirect导致308。

那么我们只需要开启nginx配置中的相关real-ip的配置,如下在http-snippet添加real_ip_header X-Forwarded-For;

kind: ConfigMap
apiVersion: v1
metadata:
name: nginx-configuration
data:
http-snippet: |
real_ip_header X-Forwarded-For;
set_real_ip_from 0.0.0.0/0;


golang中获取真实ip

func RemoteIP(r *http.Request) string {
ip := strings.TrimSpace(strings.Split(r.Header.Get("X-Original-Forwarded-For"), ",")[0])
if ip != "" {
return ip
}

ip = strings.TrimSpace(strings.Split(r.Header.Get("X-Forwarded-For"), ",")[0])
if ip != "" {
    return ip
}

ip = strings.TrimSpace(r.Header.Get("X-Real-Ip"))
if ip != "" {
    return ip
}

if ip, _, err := net.SplitHostPort(strings.TrimSpace(r.RemoteAddr)); err == nil {
    return ip
}

return ""

}


注意事项
nginx-ingress configmap中的配置会是全局生效的,上线前需要严格测试。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。